Security Home

Comunicato del Microsoft Product Support Services (PSS) Security Response Team - Worm Sasser e varianti

Pubblicato: 1 maggio 2004 | Aggiornato: 10 maggio 2004

LIVELLO DI GRAVITÀ: CRITICO
DATA: 1 maggio 2004
AGGIORNAMENTO: 10 maggio 2004

Il PSS Security Team ha aggiornato questo comunicato per segnalare ai clienti la diffusione del worm “W32.Sasser.worm” e delle relative varianti. In base alle informazioni raccolte da Microsoft, oltre al worm Sasser originale sono attualmente presenti le varianti B, C, D, E, F. Tutte le versioni del worm sfruttano un problema del servizio LSASS (Local Security Authority Subsystem Service) che può essere risolto applicando l'aggiornamento per la protezione MS04-011, rilasciato il 13 aprile 2004.

Microsoft invita i clienti a proteggere i propri sistemi installando immediatamente l'aggiornamento fornito con il Bollettino Microsoft sulla sicurezza MS04-011.

PRODOTTI INTERESSATI: Windows 2000, Windows XP

CONSEGUENZE DELL'ATTACCO: esecuzione di codice in modalità remota

DETTAGLI TECNICI

Per ulteriori informazioni sul worm fornite dai produttori di software antivirus che aderiscono alla Microsoft Virus Information Alliance (VIA), visitate i seguenti siti Web:

Computer Associates:

Sasser.A: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012

Sasser.B: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39021

Sasser.C: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39025

Sasser.D: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39037

Sasser.E: http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39087

F-secure:

worm Sasser e varianti: http://www.f-secure.com/v-descs/sasser.shtml

Global Hauri:

worm Sasser e varianti: http://www.globalhauri.com/html/notice/notice_read.html?uid=447

Network Associates:

W32/Sasser.worm.a: http://vil.nai.com/vil/content/v_125007.htm

W32/Sasser.worm.b: http://vil.nai.com/vil/content/v_125008.htm

Norman:

Sasser.A: http://www.norman.com/Virus/Virus_descriptions/14919/en-us

Sasser.B: http://www.norman.com/Virus/Virus_descriptions/14920/en-us

Panda:

Sasser.A: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46865&sind=0

Sasser.B: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46875&sind=0

Sasser.C: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46892&sind=0

Sasser.D: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=46915&sind=0

Sasser.E: http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=47232

Sophos:

Sasser.A: http://www.sophos.com/virusinfo/analyses/w32sassera.html

Sasser.B: http://www.sophos.com/virusinfo/analyses/w32sasserb.html

Sasser.D: http://www.sophos.com/virusinfo/analyses/w32sasserd.html

Symantec:

Sasser.A: http://www.sarc.com/avcenter/venc/data/w32.sasser.worm.html

Sasser.B: http://www.sarc.com/avcenter/venc/data/w32.sasser.b.worm.html

Sasser.C: http://www.sarc.com/avcenter/venc/data/w32.sasser.c.worm.html

Sasser.D: http://www.sarc.com/avcenter/venc/data/w32.sasser.d.html

Sasser.E: http://www.sarc.com/avcenter/venc/data/w32.sasser.e.worm.html

Trend Micro:

Sasser.A: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

Sasser.B: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

Sasser.C: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C

Sasser.D: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D

Sasser.E: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.E

Per ulteriori informazioni sull'iniziativa Microsoft Virus Information Alliance, visitate:

http://www.microsoft.com/italy/security/incident/via.mspx

Per ulteriori informazioni sul worm, contattate il produttore del software antivirus che utilizzate.

PREVENZIONE

Installate l'ultima versione dell'aggiornamento fornito con il Bollettino Microsoft sulla sicurezza MS04-011

http://www.microsoft.com/italy/technet/solutions/security/04/ms04_011.asp

I sistemi in cui è attivo il firewall di Windows XP sono protetti da questo tipo di attacco, che sfrutta la porta TCP 445. Questo attacco viene bloccato per impostazione predefinita anche dalla maggior parte dei firewall di altri produttori.

Sono stati inoltre pubblicati script di Internet Security and Acceleration (ISA) Server che bloccano esplicitamente il traffico legato al worm Sasser in entrata o in uscita da una rete la cui connessione Internet è controllata da ISA Server 2000 o ISA Server 2004.

Per ottenere ulteriori informazioni e scaricare gli script, visitate http://isatools.org ed eseguite il download dei seguenti file:

ISA Server 2000: block_sasser.vbs

ISA Server 2004: block_sasser_2k4.vbs

RIPRISTINO

Se il computer è già stato colpito dal worm, è innanzitutto necessario eseguire la procedura riportata di seguito. Fate una copia stampata della pagina da utilizzare in caso di necessità.

Per proteggere il sistema da nuove infezioni in futuro, installate immediatamente l’aggiornamento fornito con il Bollettino Microsoft sulla sicurezza MS04-011 reperibile all’indirizzo http://www.microsoft.com/italy/technet/solutions/security/04/ms04_011.asp.

Dopo l’applicazione dell’aggiornamento per la protezione del sistema, è possibile procedere alla rimozione del worm.

Per eliminare l’infezione, potete ricorrere allo strumento di rimozione Microsoft, che attualmente è in grado di eliminare la versione originale del worm Sasser e la variante B. In alternativa, potete eliminare l’infezione manualmente attenendovi alla procedura riportata di seguito.

PROCEDURA MANUALE

Nei computer vulnerabili il worm può provocare il blocco di di un file eseguibile (LSASS.EXE), che provoca l’arresto del sistema operativo entro 60 secondi.
Ciò potrebbe impedire lo scaricamento dello strumento di rimozione Microsoft. In questo caso, è necessario prima impedire l'arresto del sistema, seguendo la procedura riportata sotto.

Nei sistemi Windows XP è possibile impedire l’arresto del sistema utilizzando un comando predefinito.

1.

Eseguire il comando predefinito "shutdown.exe -a" nel seguente modo:

dal menù Start selezionate Esegui, digitate la parola “command” e fate invio;

nella finestra di MSDos digitate:

shutdown.exe –a

Premete invio.

Nei sistemi Windows 2000 è possibile impedire il blocco del file eseguibile e il conseguente riavvio del sistema operativo, scollegando il cavo di rete o disattivando la scheda di rete e quindi effettuando una delle seguenti operazioni:

1.

Create un file di sola lettura denominato %systemroot%\debug\dcpromo.log, nel seguente modo:

dal menù Start selezionate Esegui, digitate la parola “command” e fate invio;

nella finestra di MSDos digitate:

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

Premete invio.

Importante: il percorso della cartella di sistema “windows” può variare a seconda di dove viene installato il sistema operativo: tipicamente il percorso è “C:\winnt”

NOTA: questa è la soluzione temporanea più efficace, poiché elimina completamente gli effetti della vulnerabilità impedendo l'esecuzione del codice interessato dal problema e funziona per tutti i pacchetti inviati a qualsiasi porta vulnerabile.

2.

Attivate il filtro TCP/IP avanzato su tutte le schede di rete, per bloccare tutti i pacchetti TCP non richiesti in ingresso.

Fate clic su Start, scegliete Esegui, digitate la parola "Control" e premete INVIO.

Nel Pannello di controllo fate doppio clic sull'icona Rete e connessioni remote.

Fate clic con il pulsante destro del mouse sulla scheda connessa a Internet o alla rete colpita dal worm e scegliete Proprietà.

Fate doppio clic su Protocollo Internet (TCP/IP).

Fate clic su Avanzate.

Passate alla scheda Opzioni.

Fate doppio clic su Filtro TCP/IP.

Selezionate la casella di controllo Attiva filtro TCP/IP (su tutte le schede).

Selezionate il pulsante di opzione Autorizza solo situato sopra Porte TCP.

NOTA: NON aggiungete altre porte a questo elenco e NON selezionate il pulsante di opzione Autorizza solo situato sopra Porte UDP.

Fate clic su OK quattro volte e, quando viene richiesto se riavviare il sistema, scegliete (affinché le nuove impostazioni abbiano effetto è necessario il riavvio).

Di seguito è illustrata una soluzione alternativa che consente di bloccare qualsiasi tentativo di sfruttare la vulnerabilità tramite il protocollo TCP. Tuttavia, a differenza delle procedure descritte in precedenza, questa soluzione non impedisce ai pacchetti UDP appositamente predisposti di raggiungere le porte vulnerabili e non elimina completamente gli effetti della vulnerabilità.

3.

Arrestate temporaneamente il servizio server immettendo il seguente comando:

dal menù Start selezionate Esegui, digitate la parola “command” e fate invio;

nella finestra di MSDos digitate:

net stop server /y

Premete invio.

NOTA: questa tecnica consente di bloccare esclusivamente gli attacchi che sfruttano le porte TCP 139 e 445.

Se il computer infetto viene riconnesso alla rete, può provocare un sovraccarico della connessione di rete locale, impedendo completamente il download degli aggiornamenti. Per disattivare temporaneamente il worm è possibile utilizzare Task Manager per arrestare i seguenti processi:

Tutti i processi il cui nome inizia con almeno quattro cifre e termina con "_up.exe", ad esempio 12345_up.exe.

Tutti i processi il cui nome inizia con avserve, ad esempio avserve.exe o avserve2.exe.

Tutti i processi di nome skynetave.exe.

Dopo l'arresto di tutti i processi del worm, dovrebbe essere possibile scaricare l'aggiornamento per la protezione e lo strumento per la rimozione Microsoft.

Team PSS Security Response


Inizio paginaInizio pagina